Cookie 机制

1. Cookie

Web使用HTTP协议传输数据,而HTTP协议是无状态协议。(DNS则是有状态协议)

协议的状态是指下一次传输可以“记住”这次传输信息的能力,

为了保证服务器的内存,HTTP不会为了下一次连接而维护这次连接所传输的信息。这就是HTTP无状态协议。

Cookie的作用就是弥补这种无状态的不足。

通过储存在用户本地终端上的数据,服务器可以辨别用户身份、进行每个会话的跟踪。

在浏览器地址栏输入:

JavaScript: alert(document.cookie)

可以查看当前网站的cookie。

2. cookie的特性:

2.1. 每个特定的域名下最多生成50个cookie

2.2 可加密,安全传输技术,可降低被破解的风险

2.3 可设置有效期,这样被盗的可能只是过期的 cookie

2.4 有些状态无法保存在客户端。

2.5 不可跨域。比如访问Google不会读取、或者操作访问百度时保存的cookie。

3. 设置cookie的域名,同一个一级域名下的2级域名可互相访问cookie:

Cookie cookie = new Cookie("time","20170808"); // 新建Cookie
cookie.setDomain(".helloweenvsfei.com");           // 设置域名
cookie.setPath("/");                              // 设置路径
cookie.setMaxAge(Integer.MAX_VALUE);               // 设置有效期
response.addCookie(cookie);                       // 输出到客户端

域名只能指定为当前域名或上级域名(包括上级的上级,等等),此外都是无效的。

An explicitly specified domain must always start with a dot. 域名的属性值必须以点开头。

 Rejecting Cookies 以下情况cookie会被拒绝

   To prevent possible security or privacy violations, a user agent
   rejects a cookie (shall not store its information) if any of the
   following is true:

   * The value for the Path attribute is not a prefix of the request-
     URI.

   * The value for the Domain attribute contains no embedded dots or
     does not start with a dot.   域名属性的值不包含嵌入的点或不以点开头。
   * The value for the request-host does not domain-match the Domain
     attribute. 域名和所要提交的http的host不同,那么对应的cookie则是无效的

   * The request-host is a FQDN (not IP address) and has the form HD,
     where D is the value of the Domain attribute, and H is a string
     that contains one or more dots.

    请求的主机是一个正式域名(不是IP地址),啊这个form HD不知道怎么翻译,大概就是,H是request - host 字符串,包含一个或以上的点,D为Domain属性的值,

    但是可以直接查看官网的例子来理解这段话:

    请求的url为  y.x.foo.com 设置的domain为.foo.com,会被拒绝。

时间: 2024-10-09 19:00:31

Cookie 机制的相关文章

cookie机制

Cookie通过在客户端记录信息确定用户身份 一个用户的所有请求操作都应该属于同一个会话, HTTP协议是无状态的协议.一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接.这就意味着服务器无法从连接上跟踪会话. cookie机制: 客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie.客户端浏览器会把Cookie保存起来.当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器.服务器检查该Coo

[原创]java WEB学习笔记28: 会话与状态管理Cookie 机制

1.会话与状态管理 1)背景 ① HTTP协议是一种无状态的协议,WEB服务器本身不能识别出哪些请求是同一个浏览器发出的 ,浏览器的每一次请求都是完全孤立的: ② 作为 web 服务器,必须能够采用一种机制来唯一地标识一个用户,同时记录该用户的状态: ③ 问题:怎么才能实现网上商店中的购物车呢:某个用户从网站的登录页面登入后,再进入购物页面购物时,负责处理购物请求的服务器程序必须知道处理上一次请求的程序所得到的用户信息. 2)会话和会话状态 ① WEB应用中的会话:指一个客户端浏览器与WEB服务

cookie机制和session机制的区别

一.cookie机制和session机制的区别 具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案.同时我们也看到,由于才服务器端保持状态的方案在客户端也需要保存一个标识,所以session机制可能需要借助于cookie机制来达到保存标识的目的,但实际上还有其他选择 二.会话cookie和持久cookie的区别 如果不设置过期时间,则表示这个cookie生命周期为浏览器会话期间,只要关闭浏览器窗口,cookie就消失了.这种生命期为浏览会

初识JSP之Cookie机制

http协议的无状态性 我们在进行web应用程序开发的时候,使用的是HTTP协议来传输数据,但是这个Http协议有个先天性的不足,也就是无状态,它无法对用户的状态进行保存管理.所谓的无状态就是是指,当浏览器发送请求给服务器的时候,服务器响应客户端请求,但是当同一个浏览器再次发送请求给服务器的时候,服务器并不知道它就是刚才的那个浏览器.简单地说,就是服务器不会去记得你.所以称作无状态协议. 由于HTTP协议是无状态的协议.一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连

cookie机制与session机制的区别

一.cookie机制和session机制的区别 具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案.同时我们也看到,由于采用服务器端保持状态的方案在客户端也需要保存一个标识,所以session机制可能需要借助于cookie机制来达到保存标识的目的,但实际上还有其他选择. 二.会话cookie和持久cookie的区别 如果不设置过期时间,则表示这个cookie生命周期为浏览器会话期间,只要关闭浏览器窗口,cookie就消失了.这种生命期为浏

Cookie机制 和 session 机制

先简单介绍下 cookie机制采用的是在客户端保持状态的方案 session机制可能需要借助于cookie机制来达到保存标识的目的,但实际上它还有其他选择 客户端保留服务端的sessioID 正统的cookie分发是通过扩展HTTP协议来实现的 服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie 纯粹的客户端脚本如JavaScript也可以生成cookie cookie的内容主要包括:名字,值,过期时间,路径和域. 若不设置过期时间,则表示这个cookie

php session机制与cookie机制以及联系与区别

session与cookie是在做项目中很常用的会话技术,session与cookie也是面试中被问到频率最高的问题,有一次我去面试,面试官就怼着我session与cookie一直问(头都大了),下面总结了一些关于session与cookie的区别与联系. 说到session与cookie,先说一下什么是会话技术: 由于http协议是无状态的协议,也就是说当一个用户在请求一个页面后再请求另一个页面时,http将无法告诉我们这两个请求是否来自于同一个用户,这就意味着我们需要有一种机制来跟踪和记录用

HTTP Session、Cookie机制详解

一.什么是http session,有什么用 HTTP协议本身是无状态的,本身并不能支持服务端保存客户端的状态信息,于是,Web Server中引入了session的概念,用来保存客户端的状态信息. 这 里用一个形象的比喻来解释session的工作方式.假设Web Server是一个商场的存包处,HTTP Request是一个顾客,第一次来到存包处,管理员把顾客的物品存放在某一个柜子里面(这个柜子就相当于Session),然后把一个号码牌交给这个顾 客,作为取包凭证(这个号码牌就是Session

客户端识别和cookie机制

HTTP最初是一个匿名的.无状态的请求,服务器处理来自客户端的请求,然后向客户端回送响应,web服务器几乎没有什么信息来判定是哪个用户发送的请求,也无法记录用户的请求序列,以下有几种方法来增加用户识别机制: 第一.HTTP首部 1.from首部:包含了E-mail地址 2.User-Agent:包含了浏览器相关信息,包括程序的名称和版本, 3.Referer:提供了用户来源页面的URL 第二.客户端的IP地址: 通过TCP链接得到IP地址,存在的问题: 客户端IP地址描述的所用的机器,而不是用户

JavaWeb学习总结第五篇--认识Cookie机制

Cookie机制 前言 会话跟踪是Web程序中常用的技术,用来跟踪用户的整个会话.常用的会话跟踪技术是Cookie和Session.Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份.今天,我首先给大家讲解一下Cookie机制,后面我会给大家提到Session的. 什么是Cookie Web应用程序是使用HTTP协议传输数据的.HTTP协议是无状态的协议.一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要新的连接.这就意味着服务器无法从